A l’issue de la formation, vous serez capable de :
Formation en visioconférence
Objectifs :
Acquérir les compétences et la méthodologie pour une investigation numérique sur le système d’exploitation Windows.
Jour 1 matin
Section 1 – Etat de l’art de l’investigation numérique
Objectif du cours
Introduction à l’investigation numérique
Lien entre les différentes disciplines Forensics
Méthodologie d’investigation légale (Chaîne de custody, Chaine des évidences)
Présentation du framework ATT & CK du MITRE et points d’entrées des Cyberattaques
Arbres d’attaque
Les signes de compromissions (Corrélation ATT&CK)
Vocabulaire, taxonomie
Les différents OS Windows
Section 2 – Les fondamentaux Windows
Fondamentaux Windows
Système de fichiers / Arborescence
Séquence de boot Windows
Base de registre
Logs (evtx, log pilotes, etc)
Variables d’environnements
Jour 1 après-midi
Services et les différents accès (services.exe, Powershell)
Fondamentaux FAT32
Fondamentaux NTFS
TD 1 / Analyse d’un disque
TP 1 / Analyse d’un disque
TP 2 / Questionnaire de connaissance
Section 3 – Collecte des données
Les outils du marché (Kape, Arsenal, FTKimager, Plaso,Hindsight..)
Collecte des données physique et virtualisation
Présentation du Lab
TD / Collecte de données (En continue)
Jour 2 matin
Section 4 – Artefacts
Différents artefacts internet
Pièces jointes
Open/Save MRU
Flux ADS Zone.Identifier
Téléchargements
Historique Skype
Navigateurs internet
Historique
Cache
Sessions restaurées
Cookies
Jour 2 après-midi
Différents artefacts exécution
UserAssist
Timeline Windows 10
RecentApps
Shimcache
Jumplist
Amcache.hve
BAM/DAM
Last-Visited MRU
Prefetch
Jour 3 matin
Différents artefacts fichiers/dossiers
Shellbags
Fichiers récents
Raccourcis (LNK)
Documents Office
IE/Edge Files
Jour 3 après-midi
Différents artefacts réseau
Termes recherchés sur navigateur
Cookie
Historique
SRUM (ressource usage monitor)
Log wifi
Jour 4 matin
Différents artefacts comptes utilisateur
Dernières connexions
Changement de mot de passe
Echec/Réussite d’authentification
Évènement de service (démarrage)
Evènement d’authentification
Type d’authentification
Utilisation du RDP
Différents artefacts USB
Nomination des volumes
Evénement PnP (Plug & Play)
Numéros de série
Différents artefacts fichiers supprimés
tools
Récupération de la corbeille
Thumbcache
Thumb.db
WordWheelQuery
Spécificités Active Directory
TP 3 / investigation
Jour 4 après-midi
Section 5 – Techniques avancées
VSS
Carving
Anti-forensic et Timestomping
TP 4 / Deuxième investigation
Section 6 – Introduction à volatility
Données volatiles
Analyse d’un dump mémoire
Extraction et analyse des process
TP / Recherche d’un malware à l’aide de Volatility
Administrateur, analyste SOC, ingénieur sécurité.
Connaissance sur l’OS Windows, TCP/IP, Linux.
Alternance d’apports théoriques, d’exercices pratiques et d’études de cas.
Vous souhaitez une formation sur-mesure ou vous disposez d’un cahier des charges ?
Nous contacter*Sous réserve de maintien de la session
Sessions inter entreprises ouvertes à partir de 3 participants
Intra : base tarifaire pour un groupe de 3 personnes
DNDA
Siege Social : 26 Av de Tourville 75007 Paris
Agence : 128 rue Chanzy 59298 Hellemmes
Tél : 01 85 09 69 75
Code NAF 6202 A
N° SIRET 832 107 379 00014
Déclaration activité 11 75 63235 75
TVA FR 868 321 073 79 – TVA Acquittée sur les encaissements
SAS capital : 10 000 €
DND Agency © 2021 – Tous droits réservé
